Vorab sei fairerweise gesagt, dass es wichtig ist, einen Bezug zwischen Sicherheit und potentiellen Gefahren herzustellen und die einzelnen Cloud-Formen mit herkömmlichen Rechenzentren zu vergleichen. Die Frage nach der Sicherheit in der Cloud lässt sich also nicht einfach und eindeutig beantworten. Pauschal kann man jedoch sagen, dass der Betrieb der IT-Infrastruktur in einer Public Cloud sicherer ist als in einem klassischen Rechenzentrum bei einem durchschnittlichen Mittelständler. Der Grund dafür ist einfach erklärt: Die großen Hyperscaler investieren ein Vielfaches an Ressourcen und Ausgaben in das Thema IT-Security als ein mittelgroßes deutsches Unternehmen. Doch die größte Gefahr geht an dieser Stelle weniger von einem Ausfall der Infrastruktur aus. Die Fragen, die sich stellen: Wer greift auf Cloud-Daten zu, und wenn ja, auf welche und von wo aus? Was passiert mit Daten, die zwischen Cloud-Diensten geteilt werden?
Schatten-IT: Die unterschätzte Bedrohung beim Zugriff auf die Cloud.
Der Begriff Schatten-IT beschreibt Dienste, die in den Unternehmen neben der offiziellen IT-Infrastruktur und ohne das Wissen der IT-Abteilung verwendet werden. Schatten-IT-Instanzen sind somit weder technisch noch strategisch in das IT-Service-Management der Organisation eingebunden. Der Verlust an Informationen ist hier besonders groß. Bei Analysen in vielen Unternehmen hat sich gezeigt, dass die Nutzung wesentlich stärker ist als es in den pessimistischsten Prognosen vermutet wurde.
In vielen Projekten habe ich festgestellt, dass der unbeabsichtigte Verlust von Rechten am geistigen Eigentum eine unterschätzte Gefahr bei der Nutzung von nicht genehmigten Cloud-Diensten (Schatten-IT) ist.
Ist die Cloud zuverlässiger als das eigene Rechenzentrum?
Da die großen Public Cloud Provider ihre Rechenzentren in der Regel mit deutlich höherer Verfügbarkeit auslegen, kann man davon ausgehen, dass die Public Cloud wesentlich robuster gegen Hardware-Ausfälle ist als das eigene Rechenzentrum. Ein weiterer Faktor, der nicht vernachlässigt werden sollte, ist die Netzwerkanbindung von lokalen Ressourcen zu Cloud-Ressourcen. Da die Daten bei der Cloud-Nutzung über die Internetleitung transportiert werden, diese allerdings meist nicht in der Verantwortung des Cloud-Anbieters liegt, empfiehlt es sich, dass die Unternehmen bei ihren Internet Service Providern entsprechende Verträge abschließen. Somit können sie sicherstellen, dass auch im Netzwerk Redundanz und Zuverlässigkeit erreicht werden.
Shared Responsibility beim Thema Cloud-Sicherheit.
Aber zurück zur richtigen Nutzung der Cloud-Ressourcen in Bezug auf Daten, für die eine umfassende Cloud-Strategie für Unternehmen unerlässlich ist. Dabei müssen sich Unternehmen folgende Fragen stellen: Welche Art von Daten möchten sie wo speichern? Wo dürfen sie die Daten rechtlich gesehen speichern? Wie kommen sie im Zweifelsfall an ihre Daten (Stichwort „Backup“)? Wo endet die Haftung des Cloud Providers und wo beginnt die eigene Haftung? Wichtig an dieser Stelle ist das Shared-Responsibility-Modell zu verstehen. Dieses besagt, dass der Cloud Provider zwar eine sichere Infrastruktur von seiner Seite bereitstellt, es aber immer in der Verantwortung des Unternehmens liegt, wie es die Infrastruktur betreibt und welche Daten wie in die Cloud eingespielt werden.
Erfolgreich vom Ist- zum Soll-Zustand gelangen.
Wir bieten für unsere Kunden eine gezielte Cloud-Strategie- und Cloud-Architektur-Beratung an und unterstützen beim Aufbau von hybriden Cloud-Konzepten. Dabei ist es wichtig, dass wir entlang unseres eigens entwickelten Vorgehensmodells unsere Kunden schrittweise unterstützen und begleiten: Beginnend mit Business-Architektur-Workshops, in denen wir gemeinsam mit unseren Kunden die Geschäftsanforderungen ausarbeiten und diese dann in eine passende IT-Strategie und Cloud-Architektur übernehmen. Eine Strategie beschreibt immer den Weg vom Ist- zum Soll-Zustand. Daher muss sich jeder Kunde zuerst die Frage stellen, welche Business-Ziele er mit einer Cloud-Strategie erreichen möchte und ob dabei eher Kosteneinsparungen, eine erhöhte Flexibilität oder andere Ziele im Vordergrund stehen. In jedem Fall umfasst eine mit uns entwickelte Cloud-Strategie nicht nur die passende technische Lösung, sondern auch IT-Betriebsaspekte, aktuelle und künftige Business-Anforderungen und das Thema IT-Security.
